14.0.5 - Integ. Malwarescanner

[ffischer]

Guten Morgen,
14.0.5 Installiert - Mails kommen nicht mehr rein.

Email could not be scanned for malware.

Regel ist Integrierter Malware Scanner.

=> Aktivitäten: Ihre konfigurierten Malware-Scanner waren nicht ansprechbar. Ein Scan wurde versucht von Integrierter Malware Scanner .

Auf die schnelle fand ich in den ReleaseNotes nichts dazu.

35487, 35649 Die neue Core Antispam Engine ersetzt die bisherigen Filter Cyren AntiSpam und Cyren IP Reputation. In der Aktion Malware Scanner ersetzt der Integrierte Malware Scanner den Cyren AntiVirus-Dienst.

Edit: Vermute sehr das irgendwo, wieder ein Proxy Manuell eingetragen werden muss.

---

Also:

Das ist der Dienst: NoSpamProxy - Core Antispam Engine

Folgende Datei bearbeiten:
@ C:\ProgramData\Net at Work Mail Gateway\Core Antispam Engine
Datei: bdamserver.conf

Auskommentieren von
UpdateProxy=PROXY_IPORT

Wenn proxy Auth. dann darunter aus kommentieren und Ändern
#UpdateProxyAuth=USERNAMEASSWORD

Dienst von oben neu Starten
unter C:\ProgramData\Net at Work Mail Gateway\Core Antispam Engine\Logs sieht man dann ob Dateien/Pattern runtergeladen werden.

lt. Log baut der Dienst eine Verbindung auf nach: https://av-patterns.nospamproxy.com

Regel wieder umgestellt auf Integr.Malwarescanner
Nun kommen Mails wohl wieder durch, ich beobachte das ganze weiter.


siehe: https://docs.nospamproxy.com/Server...-the-core-antispam-engine.htm?Highlight=proxy

Was bei mir noch auffällt ist, im MessageTrack Überprüfung 32Guards Fehler - Failed to contact the server: 404 - Not Found

 

[StefanCink]

Danke fürs teilhaben lassen lieber Frank. Bzgl. 32Guards lag es an einem Fehler bei uns, der seit 11:30 Uhr gefixt ist.
Gruß Stefan

 

[Sören]

Moin Frank,

hier auch noch der Link zu der Doku: https://docs.nospamproxy.com/Server...a-web-proxy-for-the-core-antispam-engine.htm?

 

[FBrandau]

Hallo zusammen,

wir haben ebenfalls seit letzte Woche Freitag Probleme mit dem neuen Integrierten Malwarescanner.
Wir arbeiten seit vorletzte Woche in der neuesten Version 14.0.5.


Mails, die über Regeln gehen, in denen dieser aktiviert ist, bleiben im Status "temporär abgewiesen".

In den Details gibt es dann folgende Meldungen:

4.7.1 Email could not be scanned for malware

Ihre konfigurierten Malware-Scanner waren nicht ansprechbar.
Ein Scan wurde versucht von Integrierter Malware Scanner


Ist dieses Problem bekannt? Kommt der neue Virenscanner sich vielleicht mit dem dateibasierten in die Quere?
Wo können wir weiter auf Fehlersuche gehen?

Grüße

 

[JanJäschke]

Guten Morgen =)

prüf einmal folgendes:
- ist der TCP listener auf Port 8093 da (netstat -ano | findstr 8093)
- sind die Ausnahmen in anderen lokalen Virenscannern konfiguriert (https://docs.nospamproxy.com/Server...installation/installation-after.htm#on-access)
Wenn beide Punkte zutreffen:
- benötigt das System einen Netzwerkproxy?
- C:\ProgramData\Net at Work Mail Gateway\Core Antispam Engine\Logs


LG
Jan

 

[FBrandau]

Hallo,

vielen Dank für die schnelle Antwort.

Es könnte sein, dass genau die Ausnahme auf "C:\ProgramData\Net at Work Mail Gateway\Core Antispam Engine" das Problem war.
Das hatten wir bislang nach dem Update nicht...Wir behalten das einmal im Auge...

Grüße
Fabian

 

[FBrandau]

Hallo zusammen,

nachdem die Virenscanner-Ausnahme das damalige Problem gelöst hatte und wir seitdem keine Probleme mehr hatten, gab es seit Sonntagabend bis heute Morgen nun leider wieder Probleme mit dem integrierten Virenscanner.

Fehlermeldung von der Core Antispam Engine: "Filter konnte nicht rechtzeitig beendet werden und wurde abgebrochen"

Oder:

Oder:

Was ist in einem solchen Fall zu tun oder zu prüfen?

Viele Grüße
Fabian

 

[Sören]

"Filter konnte nicht rechtzeitig beendet werden und wurde abgebrochen"

ist das einmalig passiert oder ab da dann immer/öfter?

Die Verarbeitungszeit ist halt elend lang... waren da Archive dran oder viele Attachments?

 

[ffischer]

Steht den was in den Log Dateien?
C:\ProgramData\Net at Work Mail Gateway\Core Antispam Engine\Logs

 

[FBrandau]

ist das einmalig passiert oder ab da dann immer/öfter?

Die Verarbeitungszeit ist halt elend lang... waren da Archive dran oder viele Attachments?

Nachdem der Fehler am Sonntagabend angefangen hat, kam der Fehler in nahezu jeder Mail bis heute Morgen. Wenn man einzeln mal nach den Nachrichten IDs gefiltert hat, konnte man dann sehen, dass viele Mails dann nach dem 10ten Versuch und teilweise nach mehreren Stunden doch noch erfolgreich zugestellt wurden. Manche Mails aber auch gar nicht. Erst ein Neustart aller Rollen heute Morgen und das temporäre Umstellen auf den dateibasierten Virenscanner hat das Problem nun augenscheinlich erst einmal behoben.
An der ersten Mail, die diesen Fehler hatte, war gar kein Attachment dran.

Die Logs scheinen nach dem Rollen-Neustart überschrieben worden zu sein. Jedenfalls beginnen die Logs nun erst ab 8:40 Uhr und es tauchen auch keine Fehler auf.

 

[ffischer]

Hallo,
@FBrandau , wenn es ein Backup gibt, dann hier vielleicht mal das LOG raussuchen und prüfen.
Das man klären kann was das Problem ist bevor es wieder auf ein Fehler läuft.

 

[Sören]

erst einmal behoben

Ich habe das leider schon mal gehört. Unbedingt dem Support so melden!

Als workaround per Task Scheduler alle 2-3 Tage Nachts gegen 00:00 Uhr diese Dienste neustarten:

 

[FBrandau]

Ich habe das leider schon mal gehört. Unbedingt dem Support so melden!

Als workaround per Task Scheduler alle 2-3 Tage Nachts gegen 00:00 Uhr diese Dienste neustarten:

Anhang anzeigen 350

In den Logs erscheint leider immer nur eine Meldung, wenn versucht wird, die neuen Anti Virus Patterns zu laden. Einen Fehler gibt es leider nicht.
Den Workaround des Dienstneustarts habe ich nun erst einmal eingebaut, da es diese Woche wieder zu dem Problem kam.

 

[Sören]

In den Logs erscheint leider immer nur eine Meldung, wenn versucht wird, die neuen Anti Virus Patterns zu laden. Einen Fehler gibt es leider nicht.
Den Workaround des Dienstneustarts habe ich nun erst einmal eingebaut, da es diese Woche wieder zu dem Problem kam.

hmmm...

1. steht da nur der Versuch? Wenn ja, dann schick mir mal bitte das Log per PN
2. hast du es dem Support gemeldet

 

[FBrandau]

hmmm...

1. steht da nur der Versuch? Wenn ja, dann schick mir mal bitte das Log per PN
2. hast du es dem Support gemeldet

Auch das erfolgreiche Herunterladen und Aktualisieren steht im Log, das war unglücklich ausgedrückt.
Wir haben es dem Support nicht direkt geschickt, sondern über unseren Dienstleister mitgeteilt, der dies wiederum wohl gemeldet hat.

 

[mbietz]

Das Problem habe ich gerade auch gehabt, ein Neustart der Services löst es dann.
Wird es dazu einen Patch geben, oder ist es besser den Dateibasierten Scanner zu benutzen?

 

[JanJäschke]

Guten Morgen,

ja wird es.
Wir haben eine neue Version der Komponente bekommen in welche unsere Fehler behoben sind.
Diese steht nun noch bei uns auf dem Prüfstand und wird dann mit ausgerollt.

Gruß,
Jan

 

[Revan]

Guten Morgen,

ich habe am vergangenen Samstag (Gegen 12 Uhr) ein Update von 15.2.0.733 auf 15.2.0.749 durchgeführt.
Seit Sonntag, ca. 17 Uhr werden alle Mails temporär abgewiesen weil der integrierte Malwarescanner nicht erreichbar ist.

 

[ffischer]

Hallo, bei mir war letztens das ähnliche.
Allerdings weil Server "abgeschmiert" war alle Dienste waren Aktiv. jedoch Malwarescanner konnte nicht verbunden werden.


Ich beendete den Dienst: NoSpamProxy.CoreAntispamEngine.exe und startete den in der Console.
Dort kam dann die Meldungen das er auf die Verzeichnisse nicht zugreifen konnte weil vorhanden.

ich löschte Inhalt: C:\ProgramData\Net at Work Mail Gateway\Core Antispam Engine\antimalware
C:\ProgramData\Net at Work Mail Gateway\Core Antispam Engine\antispam
C:\ProgramData\Net at Work Mail Gateway\Core Antispam Engine\prefilter

Danach Dienst wieder gestartet, es dauerte etwas bis die Ordner erschienen sind, aber danach kamen auch die Mails wieder rein und wurden nicht abgewiesen temporär. Malwarescan war wieder möglich.

Vielleicht hilft es.

 

[Revan]

Ein Neustart der Core Antispam Engine scheint das Problem behoben zu haben.